Todos los días, empresas dedicadas a la seguridad analizan millones de códigos, para realizar la detección de malware, pero hoy en día un grupo de investigadores de Cyberbit encontró una nueva técnica de evasión apodada Early Bird, que ha sido utilizado últimamente en 3 malwares sofisticados.
Como su nombre lo sugiere, Early Bird es "Simple pero Poderoso" (No como Luksic) que permite a los atacantes inyectar código malicioso en un proceso legitimo antes de que comience su cadena principal de instrucciones, evitado así la detección de los motores hook de Windows, utilizados en la gran mayoría de productos antimalware.
Esta técnica de inyección de código, permite que se inyecte el código malicioso en una etapa temprana de la iniciación del hilo del proceso, eso es un poco antes de que se inicie la revisión por parte de las aplicaciones antimalware, cosa de que se pueda realizar la acción maliciosa antes de la detección.
Demostración
El método de inyección de código Early Bird se basa en una función incorporada de Windows APC (Asynchronous Procedure Calls) que permite a las aplicaciones ejecutar código de forma asincrónica en el contexto de un hilo en particular.
El flujo de inyección de código de malware funciona de la siguiente manera:
- Crear un proceso suspendido (lo mas cercano a un proceso de Windows legítimo)
- Asignar y escribir código malicioso en ese proceso
- Ponga en cola una llamada a procedimiento asíncrono (APC) a ese proceso
- Reanudar el hilo principal del proceso para ejecutar el APC
